Facebook表示受安全漏洞影響的50M用戶帳戶

Facebook報告了一起重大安全漏洞，其中有5000萬用戶帳戶被未知攻擊者訪問。

Facebook表示，攻擊者通過竊取公司用來保持用戶登錄的數(shù)字密鑰，獲得了“控制”這些用戶帳戶的能力。他們可以通過利用Facebook代碼中的三個不同錯誤來實現(xiàn)這一目標。

該公司表示已經(jīng)修復了這些漏洞并登出了5000萬用戶 - 另外還有4千萬易受攻擊的用戶 - 以便重置這些數(shù)字密鑰。用戶不需要更改他們的Facebook密碼，它說。

Facebook表示，它不知道攻擊的背后是誰或他們所在的位置。在周五與記者的電話會議上，首席執(zhí)行官馬克扎克伯格(他自己的帳戶遭到入侵)表示，攻擊者可以查看私人消息或發(fā)布某人的帳戶，但沒有跡象表明他們這樣做了。

“我們還不知道是否有任何賬戶被濫用，”扎克伯格說。

在動蕩的安全問題和隱私問題的一年中，黑客是Facebook的最新挫折。但到目前為止，這些問題都沒有嚴重影響該公司20億全球用戶的信心。

這個最新的黑客攻擊涉及Facebook的“查看為”功能中的錯誤，該功能讓人們可以看到他們的個人資料對他人的看法。攻擊者利用該漏洞從使用“查看為”功能搜索其個人資料的人的帳戶中竊取數(shù)字密鑰，稱為“訪問令牌”。然后攻擊從一個用戶的Facebook好友移動到另一個用戶。擁有這些令牌將允許攻擊者控制這些帳戶。

Facebook產(chǎn)品管理副總裁蓋伊羅森說，其中一個漏洞已經(jīng)超過一年，影響了“查看為”功能如何與Facebook的視頻上傳功能相互作用，以發(fā)布“生日快樂”消息。但直到9月中旬，F(xiàn)acebook才發(fā)現(xiàn)異常活動有所增加，而且直到本周才知道這次襲擊事件，羅森說。

羅森在與記者的電話中表示，“我們尚無法確定特定賬戶是否存在特定目標”。“它確實看起來很廣泛。我們還不知道這些攻擊的背后是誰以及他們可能在哪里。”

羅森說，密碼和信用卡數(shù)據(jù)都沒有被盜。他說，該公司已向美國和歐洲的聯(lián)邦調(diào)查局和監(jiān)管機構(gòu)發(fā)出警告。

Rendition Infosec的安全專家Jake Williams表示，他擔心黑客可能會影響第三方應用程序。

威廉姆斯指出，該公司的“Facebook登錄”功能允許用戶使用他們的Facebook憑據(jù)登錄其他應用程序和網(wǎng)站。“這些被盜的訪問令牌顯示用戶登錄Facebook時可能足以訪問第三方網(wǎng)站上的用戶帳戶，”他說。

Facebook周五晚間證實，第三方應用程序以及自己的Instagram應用程序可能已受到影響。

“這個漏洞存在于Facebook上，但是這些訪問令牌使得某人可以像使用帳戶一樣使用該帳戶，”羅森說。

今年早些時候有消息稱，曾在特朗普活動中使用的數(shù)據(jù)分析公司Cambridge Analytica不正當?shù)貜臄?shù)百萬用戶檔案中獲取了個人數(shù)據(jù)。然后國會調(diào)查發(fā)現(xiàn)，至少自2016年以來，來自俄羅斯和其他國家的代理商一直在發(fā)布假政治廣告。四月，扎克伯格出席了一場專注于Facebook隱私實踐的國會聽證會。

Facebook漏洞讓人回想起對雅虎的更大攻擊，攻擊者攻擊了30億個賬戶 - 足以占據(jù)全球一半人口的一半。就雅虎而言，被盜信息包括姓名，電子郵件地址，電話號碼，出生日期和安全問題及答案。這是多年來一系列雅虎黑客行為之一。

美國檢察官后來指責俄羅斯特工利用他們從雅虎竊取的信息來監(jiān)視俄羅斯記者，美國和俄羅斯政府官員以及金融服務和其他私營企業(yè)的雇員。

約翰斯·霍普金斯大學(Johns Hopkins University)教授托馬斯·里德(Thomas Rid)表示，在Facebook的案例中，要知道攻擊者的復雜程度以及他們是否與一個民族國家有關(guān)，可能為時尚早。Rid說它也可能是垃圾郵件發(fā)送者或罪犯。

“我們在這里看到的任何東西都不是那么復雜，需要一個州演員，”里德說。“對于任何情報機構(gòu)來說，五千萬個隨機Facebook帳戶都不是很有趣。”

消費者權(quán)益組織美國PIRG的高級主管埃德·米爾茲溫斯基(Ed Mierzwinski)表示，這一違規(guī)行為“非常令人不安”。

“這是另一個警告，國會不得制定任何國家數(shù)據(jù)安全或數(shù)據(jù)泄露立法，削弱現(xiàn)行的國家隱私法，先發(fā)制人的權(quán)利，通過新的法律，以更好地保護他們的消費者，或否認他們的律師調(diào)查的一般權(quán)利違反或執(zhí)行這些法律，“他在一份聲明中說。

Wedbush分析師Michael Pachter表示，“最重要的一點是我們從他們身上發(fā)現(xiàn)了”，這意味著Facebook，而不是第三方。

“作為用戶，我希望Facebook主動保護我的數(shù)據(jù)，讓我知道什么時候它被泄露，”他說。